蔣成

摘 要： 由于受到網(wǎng)絡(luò)入侵類型多變的影響，傳統(tǒng)的網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)調(diào)制能力和檢測穩(wěn)定性較差。設(shè)計基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)。系統(tǒng)中的信號采集模塊利用FPGA設(shè)計入侵參數(shù)，通過該參數(shù)采集被入侵網(wǎng)絡(luò)中的全部信號。調(diào)制模塊對信號采集模塊傳輸來的信號進(jìn)行拆解、放大和濾波操作，生成待檢測信號集合，同時對調(diào)制模塊中計時器電路和濾波電路進(jìn)行設(shè)計，異常信號檢測模塊利用TMS320VC5402芯片，對待檢測信號集合進(jìn)行異常信號檢測、存儲和報警，調(diào)制模塊和異常信號檢測模塊均基于人工免疫設(shè)計。同時編寫了人工免疫模型的組建代碼，利用人工免疫模型對系統(tǒng)工作流程進(jìn)行篩選。實驗結(jié)果表明所設(shè)計的系統(tǒng)擁有較強的調(diào)制能力和檢測穩(wěn)定性。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵； 異常信號； 檢測系統(tǒng)； TMS320VC5402

中圖分類號： TN926?34； TN815 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2016）24?0154?04

Purification method of intruded network feature variation signal

JIANG Cheng

（Hubei Engineering University， Xiaogan 432000， China）

Abstract： The modulating capacity and detecting stability of the traditional abnormal signal detection system after network is intruded become poor due to the influence of the variable network intrusion types. The artificial immunity based abnormal signal detection system dealing with intruded network was designed. The signal acquisition module in the system uses FPGA to design the invasion parameters to acquire all the signals in the intruded network. The modulating module is used to disassemble， amplify and filter the signals coming from the signal acquisition module to generate the signal set under detection. The timer circuit and filtering circuit in the modulating module were designed. The TMS320VC5402 chip is used by the abnormal signal detection module to perform the abnormal signal detection， storage， and alarming. The modulating module and anomaly signal detection module were designed based on artificial immunity. The forming code of the artificial immunity model was compiled. The artificial immunity model is used to screen the system workflow. The result of simulation experiment shows that the system has strong modulating capacity and detecting stability.

Keywords： network intrusion； abnormal signal； detection system； TMS320VC5402

當(dāng)今社會已進(jìn)入到網(wǎng)絡(luò)時代，各行各業(yè)的網(wǎng)絡(luò)信息化建設(shè)已成為提高企業(yè)競爭力的有效途徑[1]。與此同時，網(wǎng)絡(luò)易被入侵的弊端使得企業(yè)中重要信息無法被私密保存，各行各業(yè)開始期待著一種能夠?qū)W(wǎng)絡(luò)被入侵后異常信號進(jìn)行有效檢測的系統(tǒng)[2]。

傳統(tǒng)的網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)包括：文獻(xiàn)[3]研發(fā)基于半徑動態(tài)檢測的網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)；文獻(xiàn)[4]基于危險理論研發(fā)網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)；文獻(xiàn)[5]基于動態(tài)取證研發(fā)網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)。但這些傳統(tǒng)系統(tǒng)運行成本較高，因此并未被大面積推廣，設(shè)計基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)。

1 基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號檢測

系統(tǒng)設(shè)計

人工免疫的首次提出是在醫(yī)療界，其擁有較強的“自我”和“非我”判斷能力，將其應(yīng)用于網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)中，可以提高網(wǎng)絡(luò)入侵異常信號檢測系統(tǒng)的調(diào)制能力和檢測穩(wěn)定性?；谌斯っ庖叩木W(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)由信號采集模塊、調(diào)制模塊和異常信號檢測模塊組成[6]。

1.1 信號采集模塊設(shè)計

網(wǎng)絡(luò)入侵異常信號檢測系統(tǒng)選用現(xiàn)場可編程門陣列（Field?Programmable Gate Array，F(xiàn)PGA）作為信號采集模塊核心管理元件。FPGA擁有便于攜帶、管控效果良好和穩(wěn)定性強等特點，圖1為FPGA連接電路圖。

分析圖1可知，F(xiàn)PGA有兩個輸入端，分別進(jìn)行電源和被入侵網(wǎng)絡(luò)信號的輸入。信號采集模塊可以對網(wǎng)絡(luò)進(jìn)行實時監(jiān)控，當(dāng)網(wǎng)絡(luò)被入侵時，立刻對網(wǎng)絡(luò)中的全部信號進(jìn)行調(diào)出；電容C對所調(diào)出的被入侵網(wǎng)絡(luò)信號進(jìn)行循環(huán)計數(shù)和存儲，當(dāng)其中的信號量達(dá)到預(yù)設(shè)數(shù)值時， FPGA便將這些信號組建成信號包，并傳輸?shù)秸{(diào)制模塊，通過電感L實施信號包的緩沖傳輸，避免傳輸擁堵。

1.2 調(diào)制模塊設(shè)計

調(diào)制模塊能夠?qū)π盘柌杉K傳輸?shù)男盘柊M(jìn)行拆解、信號放大和濾波，是異常信號檢測的基礎(chǔ)。拆解是對信號包中信號進(jìn)行依次調(diào)用的過程，信號放大是對信號幅值進(jìn)行放大的過程，經(jīng)放大后的信號，可以對其中的有用特征進(jìn)行有效提取，隨后，調(diào)制模塊對信號的有用特征進(jìn)行濾波。本文對調(diào)制模塊的計時器電路和濾波電路進(jìn)行重點設(shè)計，圖2、圖3分別為計時器電路和濾波電路。

分析圖2可知，調(diào)制模塊選用的是“看門狗”計時器，其擁有4個輸入接口和4個輸出接口，所提供的重要功能包括虛擬桌面、電子控制、異常判斷和電源復(fù)位等。虛擬桌面是指計時器為調(diào)制模塊工作流程構(gòu)建虛擬模型的過程，電子控制是指計時器的所有工作全部受計算機自動控制，增強網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)的調(diào)制能力；異常判斷是指計時器通過將調(diào)制模塊的實際發(fā)生數(shù)據(jù)與預(yù)設(shè)參數(shù)進(jìn)行對比，并實施計時判斷的過程，系統(tǒng)經(jīng)由此項功能對調(diào)制模塊的工作時間進(jìn)行控制，并將該接口設(shè)為電源接地端；當(dāng)異常判斷給出的判斷結(jié)果為“超時”[7]，調(diào)制模塊便會進(jìn)行電源復(fù)位，電源復(fù)位是保證系統(tǒng)調(diào)制性能的實際操作流程。

分析圖3可知，電容C1和C2為10 μF的普通電容，C3～C6是0.1 μF的陶瓷電容，陶瓷電容相對普通電容來說，擁有更為細(xì)化的濾波功能。該濾波電路利用2個普通電容對信息包進(jìn)行強濾波，再使用4個陶瓷電容對信息包的細(xì)節(jié)進(jìn)行處理，使調(diào)制模塊擁有很強的濾波性能。調(diào)制模塊的濾波結(jié)束后，將生成信號包的待檢測信號集合，調(diào)制模塊將該集合傳輸?shù)疆惓Ｐ盘枡z測模塊中。

1.3 異常信號檢測模塊設(shè)計

異常信號檢測模塊對所接收到的待檢測信號集合進(jìn)行異常信號的檢測。該模塊以人工免疫為理論基礎(chǔ)，其將人工免疫中“自我”和“非我”的判斷理念設(shè)計于檢測工作中。異常信號檢測模塊的核心元件是TMS320VC5402芯片[8]。TMS320VC5402芯片是美國某公司研發(fā)的一款高性能定點處理器，該芯片利用哈佛結(jié)構(gòu)將程序指令和電路數(shù)據(jù)分開進(jìn)行存儲，使芯片具有低耗能和高檢測能力的優(yōu)點，且價格不高、兼容性較強，非常適合用于網(wǎng)絡(luò)入侵后異常信號檢測過程。TMS320VC5402芯片的供電電壓有兩種，分別為3.3 V和1.8 V。3.3 V電壓為芯片的輸入/輸出接口供電，1.8 V電壓為芯片的檢測工作供給電能。對TMS320VC5402芯片供電電路的設(shè)計是一項非常重要的內(nèi)容，應(yīng)使所設(shè)計出的電路能夠持續(xù)、低耗地為TMS320VC5402芯片供電，如圖4所示。

由圖4可知，異常信號檢測模塊中的TMS320

VC5402芯片提供的初始供電電壓為5 V，經(jīng)圖4（a）將其轉(zhuǎn)換成3.3 V的電壓供TMS320VC5402芯片使用，在異常信號檢測模塊調(diào)用TMS320VC5402芯片進(jìn)行檢測工作時，將通過圖4（b）中的電路把3.3 V電壓轉(zhuǎn)換成1.8 V電壓。

異常信號檢測模塊利用TMS320VC5402芯片對待檢測信號集合進(jìn)行檢測。TMS320VC5402芯片先將待檢測信號集合解碼，將解碼后的待檢測信號按照其特征類型進(jìn)行分類，隨后對其進(jìn)行異常信號檢測，TMS320VC5402芯片中含有兩種檢測電路，分別是標(biāo)準(zhǔn)檢測電路和記憶檢測電路。標(biāo)準(zhǔn)檢測電路將待檢測信號的特征與標(biāo)準(zhǔn)協(xié)議進(jìn)行比對，所獲取的異常信號將被存儲和報警；記憶檢測電路根據(jù)標(biāo)準(zhǔn)檢測電路中的存儲數(shù)據(jù)，對非首次入侵的異常信號進(jìn)行攔截和檢測，這一設(shè)計旨在提高所研發(fā)基于人工免疫的網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)的檢測效率和檢測穩(wěn)定性。

2 網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)實現(xiàn)

2.1 人工免疫模型組建代碼設(shè)計

人工免疫模型組建是網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)實現(xiàn)的前提條件。假設(shè)x代表記憶檢測電路，y代表標(biāo)準(zhǔn)檢測電路，z代表檢測電路最終集合，data代表待檢測信號，則所設(shè)計的人工免疫模型組建代碼如下：

Begin

Initialization x?set；

data=0；

do

{

A random y set to join x in the collection；

if（y not through negative selection）

{

Delete y

}

else

{

Calculate y fitness；

Add y to the set z；

y.number=1；

while（y.amputate

}

if（y detected an invasion）

{

Update z set；

z.number++；

}}

2.2 系統(tǒng)工作篩選流程設(shè)計

在網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)實現(xiàn)過程中，采用第1節(jié)設(shè)計的人工免疫模型將初次系統(tǒng)流程與系統(tǒng)流程進(jìn)行對比，篩選出系統(tǒng)工作中無效流程將被刪除，增強系統(tǒng)的調(diào)制能力和檢測穩(wěn)定性。其中，系統(tǒng)工作流程有效的概率稱作適應(yīng)值，適應(yīng)值越小的檢測工作流程，其被刪除的可能性就越大。因此，對系統(tǒng)工作流程的篩選是系統(tǒng)軟件的設(shè)計重點，其流程圖如圖5所示。

由圖5可知，人工免疫主要對系統(tǒng)中的調(diào)制工作和檢測工作進(jìn)行流程篩選。人工免疫先進(jìn)行調(diào)制工作的流程篩選，對其工作適應(yīng)值進(jìn)行計算，再將計算結(jié)果與否定選擇進(jìn)行對比。否定選擇是人工免疫中的一項重要篩選方法，其將篩選標(biāo)準(zhǔn)定義為長度為A的字符串，將B定義為永久不刪除的字符串。當(dāng)調(diào)制工作流程中的某一項與A，B同時產(chǎn)生重疊，則視為該項流程通過，其將未通過的流程參數(shù)記錄并存儲，再將該項流程刪除。人工免疫對檢測工作進(jìn)行的流程篩選與上述內(nèi)容相同。軟件最終會將已刪除的流程參數(shù)和最終工作流程輸出。

3 實驗測試

3.1 系統(tǒng)調(diào)制能力測試

本文設(shè)計的基于人工免疫的網(wǎng)絡(luò)入侵后異常信號檢測系統(tǒng)的調(diào)制能力是系統(tǒng)檢測工作的基礎(chǔ)保障。對本文系統(tǒng)調(diào)制能力的測試應(yīng)從被入侵網(wǎng)絡(luò)信號經(jīng)調(diào)制后的頻域特性和時域特性入手，判定二者是否能夠被有效提取。實驗對被入侵網(wǎng)絡(luò)的狀態(tài)進(jìn)行了模擬，并在該網(wǎng)絡(luò)中加入一強一弱兩個異常信號。設(shè)定強異常信號中時域特性的峰值為6.0 V，頻率[9]為190 kHz。設(shè)定弱異常信號中時域特性的峰值為2.0 V，頻率為110 kHz。規(guī)定調(diào)制過的信號電壓值與實際電壓差值應(yīng)不高于0.25 V，若差值低于0.08 V，則可判斷系統(tǒng)調(diào)制能力強。本文系統(tǒng)的調(diào)制結(jié)果曲線如圖6、圖7所示。

由圖6和圖7可知，經(jīng)本文系統(tǒng)調(diào)制后的強異常信號時域特性的峰值為5.95 V，頻率為190.6 kHz。弱異常信號的時域特性的峰值為1.95 V，頻率為109.9 kHz。將以上結(jié)果與規(guī)定值進(jìn)行比對能夠得出，本文系統(tǒng)擁有較強的調(diào)制能力。

3.2 系統(tǒng)檢測穩(wěn)定性測試

在系統(tǒng)檢測穩(wěn)定性測試中，實驗給出4種網(wǎng)絡(luò)入侵類型，分別是網(wǎng)絡(luò)監(jiān)聽、緩沖溢出、IP地址欺騙和SYN攻擊。利用本文系統(tǒng)、基于危險理論的檢測系統(tǒng)以及半徑動態(tài)檢測系統(tǒng)，對上述入侵進(jìn)行異常信號檢測，檢測結(jié)果如表1所示，其中：

檢測率=（系統(tǒng)檢測出的異常信號數(shù)據(jù)量÷異常信號總數(shù)據(jù)量）×100%

表1中的檢測率數(shù)據(jù)是通過系統(tǒng)對4種網(wǎng)絡(luò)入侵分別進(jìn)行2 000次檢測得出的。經(jīng)由對比上述數(shù)據(jù)中各系統(tǒng)的最低值和最高值之差，能夠清晰地得出，本文系統(tǒng)擁有較強的檢測穩(wěn)定性。

4 結(jié) 論

本文設(shè)計基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)，仿真實驗結(jié)果說明，所設(shè)計的系統(tǒng)擁有較強的調(diào)制能力和檢測穩(wěn)定性。

表1 異常信號檢測結(jié)果統(tǒng)計表（檢測率） %

參考文獻(xiàn)

[1] 崔建平.基于3G?ASCX的小型飛行器異常導(dǎo)航信號檢測系統(tǒng)設(shè)計[J].計算機測量與控制，2015，23（6）：2149?2151.

[2] 王玉萍，曾毅.基于PTG502?CAN的鍋爐管道異常壓力檢測系統(tǒng)設(shè)計[J].計算機測量與控制，2015，23（8）：2673?2675.

[3] 昂正全，趙京廣，李一超.衛(wèi)星測控站頻譜監(jiān)測系統(tǒng)設(shè)計方案及實現(xiàn)[J].計算機測量與控制，2014，22（11）：3466?3469.

[4] 陳嬌，潘天紅，張明.基于信號變化速率的時間序列異常值檢測方法[J].北京工業(yè)大學(xué)學(xué)報，2014，40（7）：992?995.

[5] 黃婷，劉政連，王巳.基于曲率擴散模型的可見數(shù)字圖像水印攻擊算法研究[J].中央民族大學(xué)學(xué)報（自然科學(xué)版），2014，23（3）：49?55.

[6] 穆麗文，彭賢博，黃嵐.異構(gòu)復(fù)雜信息網(wǎng)絡(luò)下的異常數(shù)據(jù)檢測算法[J].計算機科學(xué)，2015，42（11）：134?137.

[7] 楊福來，孫旭飛，李碩.基于FPGA的信號燈沖突檢測電路的設(shè)計與實現(xiàn)[J].微型機與應(yīng)用，2015，34（23）：23?26.

[8] 陳小軍，時金橋，徐菲，等.面向內(nèi)部威脅的最優(yōu)安全策略算法研究[J].計算機研究與發(fā)展，2014，51（7）：1565?1577.

[9] 馬曉賢，彭力.一種改進(jìn)的無線傳感器網(wǎng)絡(luò)DV?Hop定位算法[J].計算機工程與應(yīng)用，2015，51（21）：97?101.